Cinco equívocos da segurança móvel
Steve Ragan, CSO World/EUA
No mundo dos negócios, grandes e pequenos, os dispositivos móveis estão sendo usados para acessar dados de missão crítica que devem ser protegidos. O celular é o novo ponto final quando se trata de segurança.
O uso mais comum para dispositivos móveis no mundo dos negócios é o acesso ao e-mail corporativo, que contém informações confidenciais e é frequentemente sujeito a conformidade regulamentar. No entanto, Pankaj Gupta, CEO e fundador da Amtel, acrescenta que os usuários móveis, rotineiramente, compartilham e acessam arquivos de negócios confidenciais e documentos para a colaboração na resolução de problemas.
Apesar destes padrões de uso conhecidos, algumas organizações lutam com suas políticas de BYOD e seu planejamento móvel. Algumas dessas lutas estão baseadas em algumas falsas noções, que Gupta abordou em um e-mail para a CSO.
Aqui estão cinco mitos da segurança móvel aos quais é bom prestar atenção.
1: Os dispositivos móveis não armazenam dados corporativos confidenciais.
A linha básica do pensamento é que o acesso a e-mails e arquivos a partir de dispositivos móveis é esporádico. Então, quando o acesso acontece, está ocorrendo apenas por curtos períodos de tempo, e as informações sensíveis nem sempre são acessadas. Assim, o risco de divulgação inadvertida ou da perda de dados críticos é baixo.
“O acesso móvel é agora difundido, seja através de smartphones ou tablets”, diz Gupta. “Um monte de informações é armazenada em cache em dispositivos modernos de alta capacidade, na forma de e-mails e arquivos. Se os dados sensíveis não são protegidos com controles de acesso e criptografia, podem facilmente acabar em mãos erradas.”
2: Sistemas de autenticação forte, controles de gerenciamento de senhas e PINs são suficientes para impedir o acesso não autorizado.
“Um problema bem conhecido com senhas complexas que são alteradas com frequência é que os usuários acham difícil lembrar delas”, Gupta explica.
Para alguns, isso significa optar por anotar suas senhas, o que frustra todo o processo de esquemas de autenticação e gerenciamento de senha. É por isso que as organizações devem ter autenticação de dois fatores e mecanismos de controle de acesso.
“Vale a pena usar a autenticação de dois fatores para autorizar o acesso a aplicativos corporativos. Sistemas modernos substituíram geradores de token por um código enviado para o celular via mensagem de texto.”
3: Os usuários estão executando as versões mais recentes do iOS e Android, por isso seus dispositivos estão atualizados com correções de bugs e outros patches de segurança.
Quando se trata de Android, há milhões de dispositivos no mercado hoje, e em sua rede, que estão usando software desatualizado repleto de vulnerabilidades conhecidas. A Google libera correções constantemente, mas as operadoras preferem que as pessoas comprem novos dispositivos, por isso é raro ver uma oferta OTA completa para as questões de segurança , a menos que os principais problemas impactem largas faixas do público – e mesmo assim não há garantia.
“A versão do OS que um usuário está executando é, infelizmente, ligada ao dispositivo. Por exemplo, a mais recente versão do iOS pode estar disponíveis apenas em iPhones e iPads novos ou recentes. Além disso, os usuários podem desativar a opção de atualização automática. A situação não é boa no mundo Android também. De acordo com relatórios da Google, menos de cinco por cento dos usuários estão executando a versão mais recente do Android “, disse Gupta.
4: lojas de aplicativos públicos como a Apple App Store e a Google Play são fontes seguras, porque verificam aplicativos e bloqueiam malware.
Isso é um mito. “As políticas para aplicativos da Apple e da Google fazem algumas checagens de alto nível, mas não podem impedir que muitos aplicativos de malware entrem no mercado”, disse Gupta.
A Dr. Web, empresa de segurança Russa, anunciou recentemente que mais de 25 mil smartphones Android foram expostos a malware, depois de terem descarregado aplicações provenientes da loja de aplicações da Google Play!
5: Acesso seguro não é possível usando a rede WiFi pública.
“Os funcionários remotos estão constantemente usando redes WiFi públicas em aeroportos, hotéis, restaurantes, e cafés”, explicou Gupta. O melhor plano é exigir conexões de rede virtual privada (VPN) para todos os acessos de fora do seu escritório corporativo.
“VPNs usam uma combinação de conexões dedicadas e protocolos de criptografia para gerar pontos virtuais de conexão e podem permitir o acesso seguro através de redes WiFi públicas”, diz ele.